2024가합111641 블록체인 브릿지 해킹 피해 손해배상(기)

1) 쟁점

실체법적 쟁점

• 약관에 기한 o자산 → 원본 가상자산 동일 수량 전환의무(계약상 청구권) 성립 여부 (주위적)
• D 브릿지 운영자의 원본 가상자산 보관·관리의무 및 주의의무 위반 여부 (예비적)
• 이 사건 약관 제10조 제6항(손해배상책임 한도 100달러)의 유효성
• 손해액 산정 기준: o자산 시가 차액 vs. 원본 가상자산 시가 기준
• 책임 제한 비율

소송법적 쟁점

• 이 사건 침해사고 당시 비실명 전자지갑(이 사건 1, 2 전자지갑)의 원고 소유 여부
• o자산 매도·매수 반복 후 이전된 자산과 원래 보유 자산의 동일성 인정 여부

---

2) 사실관계

• 피고: 블록체인 기반 소프트웨어 개발·공급 회사. 'D 브릿지' 서비스를 개발·운영함. D 브릿지는 한 블록체인 메인넷의 원본 가상자산을 동결하고 다른 메인넷에서 그에 대응하는 o자산을 발행·전환 지원하는 서비스임
• 원고: D 브릿지 발행 oWBTC 45.11885개, oETH 262.357949개(이하 '이 사건 o자산') 보유자. 이 중 2024. 1. 1. 침해사고 당시 실명 전자지갑 및 비실명 전자지갑 1, 2에 총 oWBTC 45.895936개, oETH 136.24862개를 보유

분쟁 배경

• 불상 해커가 2023. 10. 25.경부터 피고 직원 PC에 악성코드를 전파·감염시켜 정보를 수집하는 방식으로 1, 2, 3차에 걸쳐 침투함
• 피고 CISO 이○○이 2023. 11. 22. 망간 분리(차단) 방화벽 정책을 삭제하고 any-any allow 정책을 생성함
• 해커는 2024. 1. 1. 오전 5:52 ~ 6:25경 D 브릿지 동결 이더리움 계열 가상자산 약 미화 81,899,000달러 상당을 무단 유출함(이 사건 침해사고)
• 피고는 침해사고 인지 후 볼트 스마트 컨트랙트 가동을 중단하고 수사기관·한국인터넷진흥원에 신고함
• 원고는 2024. 3. 14., 4. 15., 5. 27. 세 차례 이메일·내용증명으로 원본 가상자산 전환을 요청하였으나 전환받지 못함
• 피고는 2024. 10. 18.경 침해사고 후 잔존 원본 가상자산 비율에 따른 부분 전환 서비스를 재개함

청구취지

• 주위적: 약관에 기한 원본 가상자산(WBTC 45.11885개, ETH 262.357949개) 인도. 강제집행 불능 시 시가 환산 금액에서 37,976,069원 공제한 금액 지급
• 예비적: 불법행위(민법 제750조) 기한 손해배상 3,288,395,037원 및 지연손해금 지급

---

3) 적용법령 및 판례요지

적용법령

조문	요지
민법 제750조	불법행위에 기한 손해배상책임의 일반적 근거
약관의 규제에 관한 법률 제7조 제2호	상당한 이유 없이 사업자 손해배상 범위를 제한하거나 사업자가 부담해야 할 위험을 소비자에게 전가하는 약관 조항의 무효
소송촉진 등에 관한 특례법	지연손해금 연 12% 적용 근거
상법 제113조	준위탁매매(자기 명의·타인 계산으로 매매 아닌 행위를 영업으로 함) 의의

판례요지

• 계약 성립 인정: 피고는 D 브릿지 웹사이트에 이 사건 약관을 게시하여 불특정 이용자가 약관 확인 후 서비스를 이용하는 경우 약관 내용으로 계약을 체결할 의사가 있는 것으로 봄이 상당함. 원고가 약관 확인 후 전환을 요청하는 등의 사정에 비추어 약관 내용으로의 계약 성립을 인정함. 원고가 전소유자로부터 o자산을 매수한 경우에도 피고·전소유자·원고의 동의에 의한 계약 인수를 인정함
• 주위적 청구 기각: 이 사건 약관 제1조·제2조는 서비스 목적·전환 개념 정의에 불과하고, 제5조·제8조는 선관주의 및 서비스 운영에 관한 일반 조항임. 어디에도 서비스 이용자의 전환 요청에 따라 o자산과 동일 수량의 원본 가상자산을 반드시 전환하여야 할 피고의 의무를 명시하지 않음. 소비임치계약 성립 불인정, 준위탁매매 해당 불인정
• 원본 가상자산 보관·관리의무 인정: 피고는 D 브릿지의 실질적 통제권한 보유자이고, 볼트 스마트 컨트랙트를 개발·운영하며 동결 원본 가상자산을 활용하여 수익을 창출하는 권한도 가짐. 이에 상응하여 원본 가상자산을 선량한 관리자의 주의의무로 보관·관리하여 o자산이 원본 가상자산의 가치에 적절히 상응하는 가격안정 메커니즘을 유지·관리할 의무를 부담함(약관 제5조, 제8조 제7항 참조)
• 주의의무 위반 인정: 침해사고는 피고가 기술적으로 관리하는 영역에서 발생하였고(약관 제10조 제6항 1문의 '서비스 관련자의 책임영역 내'), 직원 PC 악성코드 감염을 통한 침투라는 피고의 보안관리 소홀이 가장 직접적인 원인임. 이○○의 방화벽 정책 변경 이전에도 이미 직원 PC를 통한 서버 침투가 있었으므로 피고의 주의의무 위반을 인정할 수 있음
• 약관 책임제한 조항 무효: 이 사건 약관 제10조 제6항은 고의·중과실을 포함한 어떠한 경우에도 배상책임을 이용대가 또는 미화 100달러로 한도를 정한 것으로, 상당한 이유 없이 사업자 손해배상 범위를 제한하고 사업자가 부담하여야 할 위험을 전가하는 조항이므로 약관법 제7조 제2호에 따라 무효임
• 손해액 산정 법리: 불법행위로 인한 재산상 손해는 불법행위가 없었더라면 존재하였을 재산상태와 현재의 재산상태의 차이(대법원 1992. 6. 23. 선고 91다33070 전원합의체 판결 등). 부실감사로 인한 주가 손해 산정 법리를 유추 적용하여, 침해사고 직전 o자산 시가 기준 재산상태와 변론종결일 현재 보유 o자산 시가 기준 재산상태의 차액으로 산정함
• 책임 제한 70%: 피고가 2021년부터 2023년까지 보안 인프라에 약 30억 원 이상 투입하고 ISMS 인증 취득, 침해사고 직후 즉시 가동 중단·신고 등 피해 확산 방지 노력, 국외 대규모 범죄조직에 의한 다수 서비스 동시 해킹 피해 사정 등을 종합하여 피고 책임을 70%로 제한함

---

4) 적용 및 결론

쟁점 ①: 주위적 청구(약관에 기한 원본 가상자산 동일 수량 전환의무)

• 법리: 법률행위 해석은 내용·동기·목적·당사자의 진정한 의사를 종합하여 논리와 경험칙에 따라 합리적으로 해석(대법원 2022다291368 판결 등)
• 포섭: 약관 제1조·제2조는 서비스 목적 및 전환 개념 정의에 불과함. 약관 제5조·제8조는 선관주의 및 서비스 일반 운영 조항임. 어떠한 조항에서도 서비스 이용자 요청 시 o자산과 동일 수량의 원본 가상자산을 반드시 전환해야 할 의무가 명시되지 않음. 소비임치계약 의사합치 증거 없음. 준위탁매매는 자기 명의·타인 계산·영업·보수 요건 불충족
• 결론: 주위적 청구 이유 없어 기각

쟁점 ②: 예비적 청구 — 보관·관리의무 및 주의의무 위반 여부

• 법리: 민법 제750조에 따라 고의·과실로 타인에게 손해를 가한 자는 배상책임을 부담함
• 포섭: 피고는 D 브릿지 실질적 통제 권한자이자 볼트 스마트 컨트랙트 개발·운영자로서 원본 가상자산 보관·관리 및 가격안정 메커니즘 유지 의무를 부담함. 이 사건 침해사고는 피고가 기술적으로 관리하는 영역에서 직원 PC 악성코드 감염으로 발생하였고, 이○○의 방화벽 정책 변경 이전에도 이미 서버 침투가 이루어진 이상 피고의 보안관리 소홀이 침해사고의 직접적 원인임
• 결론: 피고의 주의의무 위반 및 불법행위 성립 인정

쟁점 ③: 약관 제10조 제6항 책임 제한 조항의 효력

• 법리: 상당한 이유 없이 사업자 손해배상 범위를 제한하거나 사업자 부담 위험을 소비자에게 전가하는 약관 조항은 약관법 제7조 제2호에 따라 무효
• 포섭: 이 사건 약관 제10조 제6항은 고의·중과실이 있는 경우조차 모든 손해에 대해 배상책임을 이용대가 또는 100달러로 한도를 정함. 피고의 중대한 과실 개입 가능성이 크고 피고가 중과실 없음을 증명하지 못함. 조건 및 예정액 규모 등에 비추어 사업자 부담 위험을 소비자에게 전가하는 조항임
• 결론: 약관 제10조 제6항 무효

쟁점 ④: 손해액 산정 및 범위

• 법리: 불법행위 손해는 불법행위가 없었더라면 존재하였을 재산상태와 현재 재산상태의 차액. 부실감사 주가 손해 산정 법리를 유추 적용함
• 포섭: 이 사건 침해사고 직전 2023. 12. 31. 기준 원고 보유 oWBTC 45.11885개·oETH 136.24862개의 시가 합계 2,525,539,193원을 불법행위 없었더라면 존재하였을 재산상태로 인정. 2026. 2. 3. 기준 원고 보유 o자산 시가 합계 1,487,947,881원을 현재 재산상태로 인정. 차액 1,037,591,312원이 손해액. 원본 가상자산 시가 기준 손해 산정 주장은 불채택
• 결론: 손해액 1,037,591,312원

쟁점 ⑤: 책임 제한

• 법리: 손해의 공평한 부담이라는 손해배상법의 기본 이념에 따라 제반 사정을 고려한 책임 제한 가능
• 포섭: 피고의 보안 투자(약 30억 원 이상), ISMS 인증 취득, 침해사고 직후 즉시 가동 중단·신고 등 피해 확산 방지 노력, 국외 대규모 범죄조직에 의한 해킹 피해(다수 서비스 동시 피해)라는 외부 요인 개입 등 참작
• 결론: 피고 책임 70%로 제한. 최종 손해배상액 726,313,918원(= 1,037,591,312원 × 70%). 불법행위일 2024. 1. 1.부터 판결 선고일 2026. 4. 16.까지 연 5%, 그다음 날부터 연 12%의 지연손해금 부가

---

참조: 2024가합111641